Segurança em Redes de Comunicação

Evidentemente, o primeiro passo seria a instalação, mas além disso, e uma vez instalada, a portagem do antivírus começa por verificar o computador ou servidor onde está instalado para programas e ficheiros contra uma base de dados de tipos conhecidos de malwares. Como novos vírus são desenvolvidos todos os dias e sempre distribuídos por hackers, a ferramenta antivírus também analisa o dispositivo em busca da possibilidade de ameaças e infecções novas ou desconhecidas.

Normalmente, a maioria dos programas trabalha em três modos de detecção diferentes, sendo o primeiro a detecção específica, onde identifica malware conhecido; o segundo a detecção genérica, que procura partes ou tipos conhecidos de malware ou padrões que mostram uma relação por uma base de código comum; e o terceiro focaliza-se na detecção heurística, verificando vírus e infecções desconhecidas através da identificação de estruturas de ficheiros suspeitas conhecidas. Quando o programa encontra um vírus, normalmente, coloca-o em quarentena e marca-o para eliminação. Num processo de quarentena, é possível avaliar o comportamento do ficheiro e determinar se este deve ser removido do dispositivo.

É importante compreender, porém, que mesmo um antivírus é capaz de proteger o sistema ou a rede em que está instalado, não é capaz de o proteger contra todos os tipos de malware. Para melhor compreender isto, é necessário compreender que existem duas formas diferentes de um software antivírus para identificar malware: detecção de assinaturas e detecção de comportamento. Tal como os sistemas IDS e IPS, também as ferramentas antivírus se concentram em duas abordagens diferentes, tirando partido de vulnerabilidades bem conhecidas e de assinaturas e comportamentos de infecção.

Em relação à detecção de assinaturas, pode ser visto, mais uma vez, como um sistema imunitário humano, onde se faz um scan ao corpo (computador) em busca de características especiais ou assinaturas de programas conhecidos por estarem relacionados com código malicioso, infecções, ou ameaças. Faz isto através da referência a um dicionário de malware conhecido, desenvolvido com base em assinaturas conhecidas. Se algo no sistema corresponder a um padrão presente na base de dados, o programa tenta neutralizá-lo, colocando-o em quarentena ou simplesmente apagando-o. Além disso, e mais uma vez referindo-se ao sistema imunitário humano, o dicionário ou base de dados requer actualizações. Quando na saúde humana somos vacinados ou tomamos comprimidos de medicamentos, em computadores as actualizações são fundamentais para manter um nível de protecção adequado. Estas actualizações tornam possível que as ferramentas antivírus reconheçam novos e até conhecer malware desconhecido, ameaças e vulnerabilidades.

Um software antivírus só pode proteger o sistema contra o que ele reconhece como prejudicial, onde o problema é que os ataques cibernéticos estão sempre a crescer e a ser realizados de uma forma mais sofisticada a cada dia. A evolução de novas explorações e ataques é tão grande que os fornecedores de antivírus têm de correr contra o tempo para conseguirem alcançar a constante procura de protecção. Como resultado, não importa quão recentemente o antivírus tenha sido actualizado, há sempre algum novo malware que pode eventualmente contornar o software e as ferramentas antivírus e antimalware.

Quando se concentra na detecção do comportamento, o antivírus não tenta identificar malware conhecido, tal como faz quando utiliza uma abordagem de detecção de assinaturas. Em vez disso, monitoriza o comportamento do software instalado na máquina que o antivírus está a proteger. Para treinar adequadamente a ferramenta antivírus, é necessário que o software tenha o conhecimento de como é o comportamento normal do software que está a monitorizar. Depois, quando um programa actua de forma suspeita, como por exemplo tentar aceder a um ficheiro protegido ou modificar outro programa, o antivírus baseado no comportamento detectará a actividade suspeita e alertará o utilizador sobre a mesma, possibilitando-lhe agir em conformidade com a ameaça. Esta abordagem é especialmente bem sucedida na protecção do sistema contra novos tipos de malware que ainda não existem em dicionários ou bases de dados e cujas assinaturas ainda não foram descobertas nem documentadas. O problema, porém, é que esta abordagem pode aumentar o número de falsos avisos. Como utilizador de computador, é possível que não esteja seguro da acção adequada com tais falsos alarmes, tornando possível que permita acções incorrectas. Além disso, num grande número de avisos, o utilizador pode ser tentado a permitir tudo, deixando o computador aberto a ataques e infecções. Além disso, no momento em que o comportamento é detectado, também o malware muito provavelmente já correu no sistema, fazendo com que o utilizador não tenha a certeza das acções que o malware tomou antes que o software antivírus o identifique.

O antivírus é uma parte importante para proteger um computador, sistema, rede ou dispositivo móvel, e é recomendado pela maioria dos estudiosos e investigadores da área. Contudo, o ponto chave é que, independentemente do tipo e da marca do software antivírus, é incapaz de proteger o sistema contra todos os tipos de malware.